Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:openvpn:accueil [2021/02/06 14:48]
techer.charles_educ-valadon-limoges.fr [Installation de OpenVPN sur un client Linux]
+++ reseau:openvpn:accueil [2021/06/03 12:07] (Version actuelle)
techer.charles_educ-valadon-limoges.fr [Installation de OpenVPN sur un client Linux]
@@ Ligne 9: / Ligne 9: @@
 Ressource :
   * https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10
+  * https://openmaniak.com/fr/openvpn.php
+  * https://www.openssl.org/
 ===== Installer OpenVPN sur le serveur  OpenVPN=====
 <code shell>
@@ Ligne 374: / Ligne 376: @@
 client$ ls /etc/openvpn
 </code>
-    * modifier le fichier client1.ovpn si le script update-resolv-conf existe en décommentant les lignes suivantes :
+  * Transférer le script client1.ovpn situé sur le serveur OpenVPN sur le client
+<code shell>
+client$ # scp compte@ip_serveur_OpenVPN:client-configs/files/client1.opvn /
+</code>
+  * modifier le fichier client1.ovpn si le script update-resolv-conf existe en décommentant les lignes suivantes :
 <code shell>
 client$ nano client1.ovpn
@@ Ligne 383: / Ligne 390: @@
 down /etc/openvpn/update-resolv-conf
 </code>
-  * lancer la connexion VPN
+  * pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus
+    * [[https://www.dnsleaktest.com/what-is-a-dns-leak.html| DNS leak]]
+    * [[https://iflorian.com/openvpn-block-outside-ds/]]
+<code shell>
+# eviter DNS leak
+pull-filter ignore "block-outside-dns"
+</code>
+<WRAP center round info>
+Pour éventuellement **tester la connexion VPN** :
 <code shell>
 client$ sudo openvpn --config client1.ovpn
+</code>
+</WRAP>
+  * pour démarrer automatiquement le client VPN au lancement du client :
+    * **copier** le fichier de configuration du client VPN **client1.ovpn** dans **/etc/openvpn** en changeant l'extension ovpn par conf ce qui donne **client1.conf** :
+<code shell>
+client$ sudo cp client1.ovpn /etc/openvpn/client1.conf
+</code>
+  * modifier le fichier de configuration  **/etc/default/openvpn** en décommentant et en renseignant le nom du fichier de configuration (ne pas mettre l'extension .conf):
+<code shell>
+AUTOSTART="client1"
+</code>
+  * activer le lancement automatique du lien VPN au démarrage du client
+<code shell>
+client$ sudo systemctl enable openvpn
+</code>
+<WRAP center round info >
+Pour **tester le bon fonctionnement du tunnel VPN**, utiliser le site [[https://www.dnsleaktest.com/|DNSLeakTest]] pour visualiser l'**adresse IP publique** qui vous permet de naviguer sur Internet. Cette adresse IP doit être celle **serveur VPN** et non plus celle du **routeur de votre réseau** (Box Internet).
+Pour visualiser les serveurs DNS utilisés, cliquez sur **Extended Test**.
+</WRAP>
+===== Révoquer des certificats client =====
+    * sur le serveur CA exécuter le script easyrsa et confirmant avec le mot yes :
+<code shell>
+Depuis le serveur CA
+# cd  cd EasyRSA-v3.0.8
+# ./easyrsa revoke client1
+</code>
+    * création d'un liste de révocation de certificats (CRL)
+<code shell>
+Depuis le serveur CA
+# ./easyrsa gen-crl
+</code>
+<WRAP center round info>
+Un fichier **crl.pem** a été généré.
+</WRAP>
+   * transfert du fichier crl.pem sur le serveur OpenVPN dans le dossier /etc/openvpn
+<code shell>
+Depuis le serveur CA
+# scp pki/crl.pem root@ip_serveur_OpenVPN:/etc/openvpn
+</code>
+    * modifier la configuration du serveur OpenVPN pour prendre en compte la liste de certificat révoqué :
+<code shell>
+Depuis le serveur OpenVPN
+# nano /etc/openvpn/server.conf
+</code>
+ * Ajouter à la fin du fichier /etc/openvpn/server.conf a ligne suivante :
+<code shell>
+crl-verify crl.pem
+</code>
+  * redémarrer le serveur OpenVPN
+<code shell>
+# systemctl restart openvpn@server
 </code>

Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Différences

Outils de la page